네트워크 보안 - NAC (Network Access Control)
다음 중 end point에 설치되어 다양한 보안 기능을 통합적 으로 수행하는 보안 시스템을 지칭하는 것은? 2
① IPS
② NAC
③ Firewall
④ UTM
1. NAC의 개념
네트워크 접근 제어(이하 ‘NAC’)는 사용자 PC가 내부 네트워크에 접근하기 전에 보안정책을 준수했는지 여부를 검사하여 네트워크 접속을 통제하는 기술이다.
NAC의 핵심은 엔드포인트의 보안기술을 기존 네트워크 보안체계와 결합하여 기업 전체 네트워크에 통합보안체계를 구현하는 것이다. 따라서 궁극적으로 NAC의 기술은 확산되는 보안위협 경로를 미리 차단하여 사전 방어적인 네트워크 보안체계를 구현하는 것을 목적으로 한다.
NAC 솔루션은 네트워크 접근통제를 위해 다음과 같은 일련의 과정을 거친다.
2. NAC 주요기능
NAC 솔루션은 내부망을 보호하는데 중점적인 기능을 두고 있다. NAC의 주요 기능은 다음과 같다.
분류 |
주요 기능 |
접근제어/인증 |
내부직원 역할기반 접근제어 네트워크의 모든 IP기반 장치 접근제어 |
PC 및 네트워크 장치 통제 (무결성 체크) |
백신관리 패치관리 자산관리(비인가 시스템 자동 검출) |
해킹/Worm/유해트래픽 탐지 및 차단 |
유해트래픽 탐지 및 차단 해킹행위 차단 완벽한 증거수집 능력 |
컴플라이언스 |
사내 정보보호 관리체계 통제 적용 정기/비정기 감사 툴로 사용 |
NAC 솔루션의 핵심 기능은 사용자 PC가 유,무선 랜, 가상사설망(VPN) 등을 이용해 내부 네트워크에 접속할 때 신원을 확인하는 ‘사용자 인증’과 사용자 PC에 운영체제 보안패치나 안티바이러스 등 보안제품의 설치 및 업데이트 유무를 확인하는 ‘무결성 체크’이다.
3. NAC 분류
NAC솔루션들은 적용된 기반기술, 네트워크 인프라 구성형태, Agent 설치 유무 등 구현방식에 따라 다양하게 분류할 수 있다. 지면관계상 여기서 모든 종류의 특성들을 다루기는 어려워 그 중 Agent 설치 유무에 따른 Agent/Agent-less 제품의 특성 및 구현 방식에 대해서만 설명하도록 한다.
Agent 유무에 따라 분류한 Agent/Agent-less 방식을 다른 표현으로 하자면 Host-based-NAC/ Network-based-NAC이다. 보안기능 강제화를 최종 단말장치에서 수행하느냐 아니면 네트워크 장비에서 수행하느냐를 기준으로 구분하는 것이다.
구분 |
Agent |
Agent-less |
Model |
l 네트워크 기반 통합서버에서 각 단말기의 agent 통제 관리 l In-Line 방식 위주 |
l 네트워크 기반 중앙 집중 통제 관리 l 백본 또는 스위치에 장비 연결 l Out-of-Band 방식 위주 |
정책 적용 |
l 네트워크 접속 전 agent에서 수행 |
l 네트워크 접속 후 NAC에서 수행 |
인증 |
l Agent가 인증 수행 l 802,1x 구현 필요 |
l 인증 플러그인 지원 l AD/Radius/LDAP 인증 |
End-Point |
l 각종 단말기(PC, 노트북, PDA, 프린터 등) |
l 백본, L3 스위치 등 네트워크 장비 |
Install |
l 각 단말기에 agent 프로그램 설치로 워크그룹 단위에 sensor 또는 probe 장비 설치 |
l 설치가 쉽고 편리한 어플라이언스 위주 |
구축/관리 |
l 복잡한 관리포인트 및 커스터마이징 l 802.1x 환경 구축 시 고비용 발생 가능성 l Agent 업그레이드에 따른 HelpDesk 비용 과다발생 l 장비 장애시 네트워크 단절 가능성 l 보다 강력한 보안강제화 수행 |
l Agent 설치없는 편리성 l 빠르고 간단한 설치, 구축으로 HelpDesk 비용 절감 l 네트워크 운영에 영향이 없는 미러링 구조 |
Agent를 설치하는 제품의 경우 단말의 상태 점검에 강점을 가지고 있으며, Agent-less 제품의 경우 트래픽 모니터링에 강점을 가지고 있다.
[출처: http://www.a3security.com/ ]
'IT > Network' 카테고리의 다른 글
네트워크 보안 - Snort의 payload 데이터 검사 항목 (0) | 2019.08.19 |
---|---|
네트워크 보안 - 침입탐지시스템 (0) | 2019.08.12 |
네트워크 보안 - 피싱, 파밍, 스미싱, 봇넷 (0) | 2019.08.07 |
네트워크 보안 - NAT (Network Address Translation) (0) | 2019.08.07 |
[ 실습 ] HSRP LAB 3 (0) | 2019.05.29 |
댓글